javascript - XSS 预防。处理 <script 就足够了吗?

标签 javascript security xss

我想知道是否检查并删除 "<script"来自文本输入字段是否足以阻止 JavaScript 代码注入(inject)攻击?

最佳答案

不,仅仅阻止特定案例是不够的 - 迟早会有人想出一个你没有想到的人为案例。

查看此 list of XSS attacks对于最常见的(可能存在其他更奇特的)。您需要将允许的语法列入白名单,而不是假设除了已知向量之外的所有内容都应该没问题。

关于javascript - XSS 预防。处理 &lt;script 就足够了吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4344703/

上一篇:javascript - 谷歌地图只显示部分

下一篇:javascript - 使用 JQuery 打开弹出窗口并打印

相关文章:

javascript - 用户在标记中显示时提交了 URL 和安全性

javascript - 有没有办法检查 ExternalInterface 是否可以从 javascript 获得?

javascript - Browserify 与 Polymer 和/或 AngularJS 兼容吗

image - 在 Ubuntu 中基于图像 (PNG) 的内容创建一个唯一的哈希值?

java - 主机环境安全

php - 从外部服务器获取页面

javascript - document.vulnerable 是做什么的?

javascript - 克隆的自动完成输入不起作用

javascript - 页面加载时无法调用 JavaScript 函数

performance - 所有资源的 HSTS header ?或文件?

©2024 IT工具网  联系我们